seguran a em sistemas de informa o l.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Segurança em Sistemas de Informação PowerPoint Presentation
Download Presentation
Segurança em Sistemas de Informação

Loading in 2 Seconds...

play fullscreen
1 / 62

Segurança em Sistemas de Informação - PowerPoint PPT Presentation


  • 224 Views
  • Uploaded on

Segurança em Sistemas de Informação. Eduardo Luzeiro Feitosa. Agenda. Conceitos Normas de Segurança Avaliação de Riscos Políticas de Segurança Detecção de Vulnerabilidades Ataque. Conceitos. Segurança da Informação.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Segurança em Sistemas de Informação' - Anita


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
agenda
Agenda
  • Conceitos
  • Normas de Segurança
  • Avaliação de Riscos
  • Políticas de Segurança
  • Detecção de Vulnerabilidades
  • Ataque
seguran a da informa o
Segurança da Informação
  • Segurança da Informação (SI) é a proteção de sistemas de informação contra desastres, erros e manipulação de modo a minimizar a probabilidade e impacto de incidentes
  • Prevenção:

Confidencialidade

Integridade

Disponibilidade

seguran a da informa o5
Segurança da Informação
  • Confidencialidade
    • Garantia de que a informação é acessível somente por pessoas autorizadas
    • Não deve acontecer divulgação intencional (ou não) de informações reservadas
    • Questões de confidencialidade surgem porque processos e informação sensíveis do negócio só devem ser divulgados para pessoal / programas autorizados
    • Necessidade de controlar acesso
seguran a da informa o6
Segurança da Informação
  • Integridade
    • Garantia da exatidão e completude da informação e dos métodos de processamento
    • Informações não devem ser
      • Modificadas por pessoas/processos desautorizados
      • Modificações desautorizadas não sejam feitas por pessoas/processos autorizados
      • Inconsistentes
    • Necessidade de garantir que os objetos são precisos e completos
seguran a da informa o7
Segurança da Informação
  • Disponibilidade
    • Garantia que usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário
    • Informação e serviços do negócio devem estar disponíveis quando necessários
      • Necessidade de controles para garantir confiabilidade dos serviços
seguran a da informa o8
Segurança da Informação
  • Como a SI pode ser obtida?
    • Implementando controles para garantir que os objetivos de segurança sejam alcançados
  • Porque SI é necessária?
    • A informação, processos, sistemas e redes são importantes ativos para os negócios
    • Confidencialidade, integridade e disponibilidade são essenciais para preservar o negócio
    • As informações são constantemente “ameaçadas”
    • Dependência dos SIs gera vulnerabilidades
    • Quase nada é projetado para ser seguro
seguran a da informa o9
Segurança da Informação
  • Requisitos de segurança
    • Avaliação de riscos dos ativos
      • Avaliação de ameaças, vulnerabilidades, probabilidade de ocorrência de incidentes, impacto ao negócio
    • Legislação vigente, estatutos, regulamentação, cláusulas contratuais
      • Devem ser obrigatoriamente atendidos
norma bs 7799 bs british standard
Norma BS 7799 (BS = British Standard)
  • BS-7799-1:2000 – Primeira parte
    • Publicada em 1995 pela primeira vez
    • Versão atual de 2000
    • Código de prática para a gestão da segurança da informação
    • Objetivo da organização: conformidade
  • BS-7799-2:2002 – Segunda parte
    • Publicada em 1998 pela primeira vez
    • Versão atual de 2002
    • Especificação de sistemas de gerenciamento de segurança da informação (ISMS – information security management system)
    • Objetivo da organização: certificação
norma iso iec 17799
Norma ISO/IEC 17799
  • Internacionalização da norma BS 7799
    • ISO/IEC 17799:2000, substitui a norma britânica
  • Inclui 127 controles e 36 objetivos de controle agrupados em 10 áreas de controle
  • Controles baseados na experiência das organizações e melhores práticas
  • Atualmente está sendo atualizado
    • ISO/IEC 17799:2005: disponível maio/junho 2005
    • Várias modificações gerais e específicas
    • http://www.aexis.de/17799CT.htm
norma nbr 17799
Norma NBR 17799
  • NBR ISO/IEC 17799
    • Versão brasileira da norma ISO, homologada pela ABNT em setembro de 2001
    • Tradução literal da norma ISO
    • www.abnt.org.br
  • No Brasil, deve-se usar a norma brasileira
    • Em outros países, recomenda-se verificar se existe uma norma local
  • Detalhe importante:
    • Deve-se pagar pelas normas 
vantagens das normas 1 2
Vantagens das Normas (1 # 2)
  • Conformidade com regras dos governos para o gerenciamento de riscos
  • Maior proteção das informações confidenciais da organização
  • Redução no risco de ataques de hackers
  • Recuperação de ataques mais fácil e rápidas
  • Metodologia estruturada de segurança que está alcançando reconhecimento internacional
vantagens das normas 2 2
Vantagens das Normas (2 # 2)
  • Maior confiança mútua entre parceiros comerciais
  • Custos possivelmente menores para seguros de riscos computacionais
  • Melhores práticas de privacidade e conformidade com leis de privacidade
terminologia 1 2
Terminologia (1 # 2)
  • Risco
    • Possibilidade de sofrer perda ou dano; perigo
  • Ataque
    • Acesso a dados ou uso de recursos sem autorização
    • Execução de comandos como outro usuário
    • Violação de uma política de segurança, etc
  • Vulnerabilidade
    • É uma falha que pode permitir a condução de um ataque
terminologia 2 2
Terminologia (2 # 2)
  • Incidente
    • A ocorrência de um ataque; exploração de vulnerabilidades
  • Ameaça
    • Qualquer evento que pode causar dano a um sistema ou rede
    • A existência de uma vulnerabilidade implica em uma ameaça
  • Exploit code
    • Um código preparado para explorar uma vulnerabilidade conhecida
exemplos de amea as
Exemplos de Ameaças
  • Pessoas chaves para uma organização
    • Ferimento, morte
  • Servidores de arquivos
    • Ataques DoS
  • Dados dos alunos
    • Acesso interno não autorizado
  • Equipamentos de produção
    • Desastre natural
exemplos de vulnerabilidades
Exemplos de Vulnerabilidades
  • Pessoas chaves para uma organização
    • Sem controle de acesso
  • Servidores de arquivos
    • Aplicação incorreta de correções (patches)
  • Dados dos alunos
    • Terceirizados não averiguados
  • Equipamentos de produção
    • Controles fracos de acesso físicos
gerenciamento de riscos
Gerenciamento de Riscos
  • O gerenciamento de riscos é baseado no:
    • Identificação (conhecimento) e avaliação (estimativa) de riscos
    • Controle (minimização) de riscos
identifica o de riscos
Identificação de Riscos
  • Conhecimento do Ambiente
    • Identificar, examinar e compreender como a informação e como ela é processada, armazenada e transmitida
    • Iniciar um programa detalhado de gerenciamento de riscos
  • Conhecimento do inimigo
    • Identificar, examinar e compreender as ameaças
    • Gestores devem estar preparados para identificar as ameaças que oferecem riscos para a organização e a segurança dos seus ativos
estimativa de riscos
Estimativa de Riscos
  • Passo 1: Caracterização do sistema
    • O que há para gerenciar?
    • Como a TI está integrada no processo?
  • Passo 2: Identificação das ameaças
    • Quais fontes de ameaças devem ser consideradas?

(Interna/externa, acidental/intencional, maliciosa/não-maliciosa)

  • Passo 3: Identificação de vulnerabilidades
    • Quais falhas/fraquezas podem ser exploradas?
  • Passo 4: Análise de controles
    • Quais são os controles atuais e planejados?
estimativa de riscos24
Estimativa de Riscos
  • Passo 5: Determinação das possibilidades
    • Alta, Média e Baixa
  • Passo 6: Análise de Impacto
    • O que a exploração da vulnerabilidade pode resultar?
    • Alta, Média e Baixa
  • Passo 7: Determinação dos riscos
    • Possibilidade x Impacto
  • Passo 8: Recomendações de controles
  • Passo 9: Documentação
tipos de pol ticas
Tipos de políticas
  • Programa de Política (organizacional)
    • Diretrizes da diretoria para criar um “programa” de segurança, estabelecer os seus objetivos e atribuir responsabilidades
  • Políticas de sistemas
    • Regras de segurança específicas para proteger sistemas (redes, máquinas, software) específicos
implementa o de pol ticas
Implementação de Políticas
  • Padrões
    • Uniformidade de uso de tecnologias, parâmetros ou procedimentos, para beneficiar a organização
      • Ex: Uso de Windows 2000 (mesmo existindo XP)
  • Diretrizes
    • Em alguns casos, a aplicação de padrões não é possível, conveniente ou acessível (custos)
      • Ex: auxílio no desenvolvimento de procedimentos
  • Procedimentos
    • Passos detalhados para serem seguidos pelos funcionários
      • Ex: Cuidados na criação de contas de e-mail
pol tica componentes
Política (componentes)
  • Objetivo
    • Por que a política?
  • Escopo
    • Toda a organização ou parte dela?
  • Responsabilidades
    • Quem são as pessoas? Estrutura formal?
  • Conformidade
    • Como fiscalizar”?
    • O que acontece para quem não cumprir?
      • Intencional, não-intencional (falta de treinamento?)
exemplo sans institute para roteador
Exemplo: SANS Institute para roteador
  • Objetivo
    • Este documento descreve uma configuração mínima de segurança para todos os roteadores e switches conectados na rede de produção da <organização>
  • Escopo
    • Todos os roteadores e switches conectados na rede de produção da <organização> são afetados.
    • Roteadores em laboratórios internos/seguros são excluídos
    • Roteadores dentro da DMZ devem seguir política específica
exemplo sans institute para roteador30
Exemplo: SANS Institute para roteador
  • Política: padrões de configuração
    • Contas locais não devem ser configuradas nos roteadores. Roteadores devem usar TACACS+ (AAA) para todas as autenticações de usuários
    • A senha de “enable” deve ser criptografada
    • Deve ser desabilitado
      • Broadcast IP direcionado (sub-redes que o host não está)
      • Recepção de pacotes com endereços inválidos (ex: RFC1918)
      • Serviços “pequenos” TCP e UDP (echo, chargen, daytime, discard)
      • Roteamento pela fonte (source routing)
      • Serviços web rodando no roteador
    • Não usar comunidade SNMP public (criar padrões)
    • Regras de acesso devem ser definidas pela necessidade
    • ...
terminologia
Terminologia
  • RFC 2828 – Glossário de segurança da Internet
    • Uma falha ou fraqueza em um sistema
    • Que pode ocorrer
      • No projeto
      • Na implementação
      • Na operação ou gerenciamento
    • Que pode ser explorada para violar a política de segurança do sistema
  • Livro do Nessus
    • Erro de programação ou configuração errada que pode permitir que um intruso tenha acesso não autorizado a algum ativo
tipos de vulnerabilidades
Tipos de Vulnerabilidades
  • Não existe ainda consenso sobre classificação e/ou taxonomia para vulnerabilidades
    • Por serviço afetado
    • Por gravidade
    • Por sistema operacional alvo
  • Classificação por impacto potencial (Nessus)
    • Vulnerabilidades Críticas
    • Vazamento de informações
    • Negação de serviços
    • Falha em implementar melhores práticas
vulnerabilidades cr ticas
Vulnerabilidades críticas
  • São os problemas de mais alta prioridade
  • A sua exploração podem levar a execução de programas, escalada de privilégios, comprometimento do sistema, etc
  • Critérios para classificar uma falha como crítica
    • Possibilidade de exploração remota
    • Exploração sem conta de usuário local
    • Permissão de acesso privilegiado
    • Exploração automática e confiável (para o atacante)
  • Vermes exploram vulnerabilidades críticas
vulnerabilidades cr ticas exemplos
Vulnerabilidades críticas (exemplos)
  • Sasser worm
    • Buffer overflow no Local Security Authority Subsystem Service (LSASS) do Windows
  • Witty worm
    • Buffer overflow no parser do ICQ de produtos para IDS da Internet Security Systems (ISS)
  • Slapper worm
    • Falha na biblioteca OpenSSL do Apache que permite executar uma shell remota e explorar DoS
  • Solaris sadmind
    • O serviço RPC do sadmind permite que usuários não autenticados executem comandos como root
vulnerabilidades cr ticas classifica o
Vulnerabilidades críticas (classificação)
  • Buffer overflow (transbordamento de memória)
  • Travessia de diretórios
  • Ataques de formatação de strings
  • Senhas default
  • Configurações erradas
  • Backdoors conhecidos
vulnerabilidades cr ticas37
Vulnerabilidades críticas
  • Buffer Overflow
    • O tipo mais famoso e explorado de vulnerabilidade crítica
      • O programador não limita a quantidade de informação que pode ser escrita em uma determinada área de memória (string, array, etc)
    • O transbordo da memória ocorre quando o programa copia os dados de entrada para o buffer sem verificar o seu tamanho
    • Metade das vulnerabilidades descobertas nos últimos anos são de buffer overflow (CERT)
    • http://www.sans.org/rr/whitepapers/threats/481.php
vulnerabilidades cr ticas38
Vulnerabilidades críticas
  • Travessia de Diretórios
    • Problema comum encontrado em várias protocolos/aplicações que mapeiam pedidos dos usuários para caminhos de arquivos locais
    • Exemplo: através de uma conta de FTP que remete ao /home/userX, o atacante consegue acessar outros diretórios e arquivos
    • Vulnerabilidades descobertas
      • TFTP
      • Apache
      • rsync
      • Mcrosoft IIS
vulnerabilidades cr ticas39
Vulnerabilidades críticas
  • Formatação de strings
    • Permite que um atacante passe como parâmetro especificadores de conversão (ex: %d”, “%s”) e faça com que seja processados mais dados do que o programador considerou originalmente
    • Permite que endereços de memória sejam sobrescritos e código malicioso seja executado
    • O atacante precisa ter muito conhecimento, ou seja, precisa ser um “hacker de verdade”
    • Vulnerabilidades descobertas
      • Solaris rpc.rwalld
      • Tripwire
vulnerabilidades cr ticas40
Vulnerabilidades críticas
  • Senhas default
    • A maioria dos equipamentos e softwares vem configurados com usuários e senhas default (padrão), documentados e bem conhecidos
      • Elas facilitam a instalação e configuração inicial
    • É muito comum os administradores esquecerem de alterar esses usuários e contas
    • Exemplos
      • Cisco: conta: cisco, senha: cisco
      • WLAN: SSID (service set identifier) linksys
      • SNMP: comunidade public
      • Windows: administrator
vulnerabilidades cr ticas41
Vulnerabilidades críticas
  • Configurações erradas
    • A vida dos administradores de sistemas e de redes é dura
      • Eles sempre têm que fazer tudo às pressas
    • Por inexperiência, displicência ou pressa, muitas vezes configurações erradas ficam ativas por muito tempo
    • Exemplo: FTP anônimo
      • Para permitir que um web designer um administrador configura um FTP “seguro” e esquece da conta padrão “anonymous”
      • Um atacante coletou durante 3 meses o arquivo de senhas de uma instituição financeira, antes que o problema fosse detectado
vulnerabilidades cr ticas42
Vulnerabilidades críticas
  • Backdoors conhecidos
    • Geralmente são programas que escutam portas e possibilitam algum tipo de acesso
    • Redes com administradores inexperientes facilmente facilmente têm pelo menos um sistema com backdoors conhecidos
      • Trojans: capturadores de teclado, mouse, senhas, área de desktop, relay para outros sistemas
    • Geralmente são instalados por um atacante para ter novo acesso após um ataque bem sucedido
    • Ou seja, um backdoor significa que a rede já foi atacada e vários ativos podem ter sido comprometidos
anatomia de um ataque44
Anatomia de um ataque

Varredura

Reconhecimento

Enumeração

Invasão

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros

Negação de Serviços

anatomia de um ataque45
Anatomia de um ataque

Varredura

Reconhecimento

Enumeração

Invasão

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros

Negação de Serviços

1 footprinting reconhecimento
1. Footprinting (reconhecimento)
  • Informações básicas podem indicar a postura e a política de segurança da empresa
  • Coleta de informações essenciais para o ataque
    • Nomes de máquinas, nomes de login, faixas de IP, nomes de domínios, protocolos, sistemas de detecção de intrusão
  • São usadas ferramentas comuns da rede
  • Engenharia Social
    • Qual o e-mail de fulano?
    • Aqui é Cicrano. Poderia mudar minha senha?
    • Qual o número IP do servidor SSH? e o DNS?
anatomia de um ataque47
Anatomia de um ataque

Varredura

Reconhecimento

Enumeração

Invasão

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros

Negação de Serviços

2 scanning varredura ou mapeamento
2. Scanning (varredura ou mapeamento)
  • De posse das informações coletadas, determinar
    • Quais sistemas estão ativos e alcançáveis
    • Portas de entrada ativas em cada sistema
  • Ferramentas
    • Nmap, system banners, informações via SNMP
  • Descoberta da Topologia
    • Automated discovery tools: cheops, ntop, …
    • Comandos usuais: ping, traceroute, nslookup
  • Detecção de Sistema Operacional
    • Técnicas de fingerprint (nmap)
  • Busca de senhas contidas em pacotes (sniffing)
    • Muitas das ferramentas são as mesmas usadas para gerenciamento e administração da rede
mapeamento de rede
Mapeamento de rede

Tela do Cheops (http://cheops-ng.sourceforge.net)

anatomia de um ataque50
Anatomia de um ataque

Varredura

Reconhecimento

Enumeração

Invasão

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros

Negação de Serviços

3 enumeration enumera o
3. Enumeration (enumeração)
  • Coleta de dados intrusiva
    • Consultas diretas ao sistema
    • Está conectado ao sistema e pode ser notado
  • Identificação de logins válidos
  • Banners identificam versões de HTTP, FTP servers
  • Identificação de recursos da rede
    • Compartilhamentos (windows) - Comandos net view, nbstat
    • Exported filesystems (unix) - Comando showmount
  • Identificação de Vulnerabilidades comuns
    • Nessus, SAINT, SATAN, SARA, TARA, ...
  • Identificação de permissões
anatomia de um ataque52
Anatomia de um ataque

Varredura

Reconhecimento

Enumeração

Invasão

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros

Negação de Serviços

4 ganhando acesso invas o
4. Ganhando acesso (invasão)
  • Informações coletadas norteiam a estratégia de ataque
  • Invasores tem uma “base” de vulnerabilidades
    • Bugs de cada SO, kernel, serviço, aplicativo – por versão
    • Tentam encontrar sistemas com falhas conhecidas
  • Busca privilégio de usuário comum (pelo menos)
  • Técnicas
    • Password sniffing, password crackers, password guessing
    • Session hijacking (sequestro de sessão)
    • Ferramentas para bugs conhecidos (buffer overflow)
  • Hackers constróem suas próprias ferramentas
anatomia de um ataque54
Anatomia de um ataque

Varredura

Reconhecimento

Enumeração

Invasão

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros

Negação de Serviços

5 escalada de privil gios
5. Escalada de privilégios
  • Uma vez com acesso comum, busca acesso completo ao sistema (administrator, root)
  • Ferramentas específicas para bugs conhecidos
    • "Exploits"
  • Técnicas
    • Password sniffing, password crackers, password guessing
    • Session hijacking (sequestro de sessão)
    • Replay attacks
    • Buffer overflow
    • Trojans
anatomia de um ataque56
Anatomia de um ataque

Varredura

Reconhecimento

Enumeração

Invasão

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros

Negação de Serviços

anatomia de um ataque57
Anatomia de um ataque

Varredura

Reconhecimento

Enumeração

Invasão

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros

Negação de Serviços

7 oculta o de rastros
7. Ocultação de rastros
  • Invasor usa tenta evitar detecção da presença
  • Usa ferramentas do sistema para desabilitar auditoria
  • Toma cuidados para não deixar “buracos” nos logs
    • excessivo tempo de inatividade vai denuciar um ataque
  • Existem ferramentas para remoção seletiva do Event Log
  • Esconde arquivos “plantados” (back doors)
anatomia de um ataque59
Anatomia de um ataque

Varredura

Reconhecimento

Enumeração

Invasão

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros

Negação de Serviços

8 instala o de back doors
8. Instalação de Back doors
  • Objetivo é a manutenção do acesso
    • Rootkits – ferramentas ativas, mas escondidas
    • Trojan horses – programas falsificados
    • Back doors – acesso/controle remoto sem autenticação
  • Trojans podem mandar informação para invasor
    • Captura teclado
    • Manda um e-mail com a senha
  • Rootkits se confundem com o sistema
    • Comandos modificados para não revelar o invasor
  • Back doors
    • Sistemas cliente/servidor
    • Cliente na máquina invasora controlando Servidor na máquina remota
    • Não aparecem na "Task List" do Windows NT/2k
anatomia de um ataque61
Anatomia de um ataque

Varredura

Reconhecimento

Enumeração

Invasão

Escalando privilégios

Acesso à informação

Instalação de back doors

Ocultação de rastros

Negação de Serviços

9 denial of service nega o de servi o
9. Denial of Service (negação de serviço)
  • Ataques com objetivo de bloquear serviços, através de:
    • Consumo de banda de rede
    • Esgotamento de recursos
    • Exploração de falhas de programação (ex: ping da morte)
    • Sabotagem de Roteamento
    • Sabotagem no DNS
  • DDoS Distributed Denial of Service
    • Ataques coordenados de múltiplas fontes